val it: α → α = fun

前に紹介してからすぐ読了してたんだが、紹介しそこねてたね。というのは、その前の記事から基本的に大きく書きなおすほどのことがなかったからではあるのだけど……。

といいつつまず訂正。「コンピュータ・セキュリティからの援用はとくにない」と書いていたけれど、あのあとすぐに目についた。途中から折にふれて出るようになるとは考えづらいので、それまででも、自分にとって自明だったので読みとばしていただけなのだろう。

で、この本。

前も書いたけど、コンピュータの専門家以外の人が読むと面白い本だと思う。セキュリティ対策っていうことがいかに間違っているか、という本である。書かれたのは2003年、9・11のテロと、それに対する合衆国政府の対応が主な素材で、「機内に爪切りの持ち込みを禁じても大した効果は得られないだろう」と、既存の対策をかなり厳しく批判している。

テロも、テロ対策も、ぼくらには身近じゃない遠いアメリカの話だが、だからといって読まなくていい本じゃない。その点を身近に感じられないとしても、この本は読む価値がある。

よく言われるようにセキュリティは最弱点問題だと筆者は主張する。セキュリティは、いちばん弱いところが狙われ、切り崩されるのであり、ほかが最強であってもたいした意味はないのだという。

そしてセキュリティに最も強いのが人間だと筆者は主張する。ここがほかのセキュリティ本とちがうところだ。

筆者の主張は次のとおりだ。機械というのは、仕組みがわかってしまえば簡単に騙せるものであるという。機械的にしか反応できなければ、やがて裏をかかれる。でも人間は、機械でも気付かないような異常でも検出できる。

筆者のもうひとつの主張は「完璧なセキュリティなどない」というものだ。これをやっていれば問題なし、という対策はない。だからけっきょくトレードオフで、導入にかかるコストと、それでうまく防げる効果とを見極めないといけない。それから、ひとつの対策が硬直化していると簡単に裏をかかれる。頻繁にレビューしなおしておかないといけないという。

だからけっきょく人間じゃないとだめだ、っていうわけ。

もちろん、セキュリティの最弱点に人間が位置することがある。異常警報を鳴らす仕組みがあるとき、それを対処するのが人間であるなら、敵はまずそれを狙うだろうというわけだ。些細なこと、たとえばゴミが風に飛ばされるのにセンサを検出させる。それを頻繁にやることで、「なんでもないことでも異常警報が鳴る」と思わせておけば、いざ行動を起こしても警備員の対応がにぶってしまう。人間の慣れというのは難しい問題だ。

筆者の主張は、セキュリティの仕組みを考える人間の方のことだ。ある対策で事足れりとしてはいけないという主張だ。テロ対策のために、液体を機内に持ち込んじゃいけないっていうのはナンセンスだとわたしも思う。その対策でどんな効果が得られるのかを考えなければならない。

そう、結論は「考えないといけない」っていうことだ。この本はそこに終始する。ある問題に対する完璧な対策を、筆者は授けてくれない。むしろ「そんな完璧な対策なんてないんだ、自分で考えなさい」という。だからこの本はとても手厳しいし、読者にもわかった気を与えない。むしろ困惑させる。

でも、だからこれはいい本だ。